フィッシング詐欺とは?あなたを狙う様々な手口を公開


 

【フィッシング詐欺とは?】

KIS2015_ブログ記事_2014_11_26_フィッシング詐欺について_004

パソコンを使う時に、「マルウェア(=コンピューターウィルス)」「脆弱性」と同じくらい有名な驚異(=危険)が「フィッシング詐欺」です。
「フィッシング詐欺」とは、銀行などの偽ホームページを設置し、ユーザーから個人情報を盗み取る手口を言います。
手口全体は「フィッシング詐欺」と呼ばれ、このために設置される偽ホームページ「フィッシングサイト」と呼ばれます。

 

 

【フッシングサイトの種類】

KIS2015_ブログ記事_2014_11_26_フィッシング詐欺について_010

これまで確認されているフィッシングサイトで代表的なものとして下記があります。
・銀行の偽ログインページ
・クレジットカードの偽ログインページ
・オンラインゲームの偽ログインページ
・Webメールなどオンラインサービスの偽ログインページ
・有名オンラインショップの偽決済ページ
・有名SNSの偽ログインページ

※.他にも多くの偽サイトが確認されています

最新のフッシングサイトの情報は下記ページなどで公開されています。

フィッシング対策協議会:緊急情報一覧
https://www.antiphishing.jp/news/alert/

PhishTank(英語)
http://www.phishtank.com

 

 

 

【フィッシングの手口】

KIS2015_ブログ記事_2014_11_26_フィッシング詐欺について_002

フィッシング詐欺を行うためには、ユーザーをフィッシングサイトに誘導し、ユーザー自身に個人情報を入力させる必要があります。
ユーザーをいサイトへ誘導するて次として代表的なものには下記があります。

 

 

■フィッシング-メールによる誘導

KIS2015_ブログ記事_2014_11_26_フィッシング詐欺について_014
最も古典的な手口として、銀行やクレジットカード会社などを騙った偽のメール(フィッシングメールなどと呼ばれます)にフッシングサイトのURLを掲載する方法があります。
ユーザーがメールに記載されたURLをクリックすると、本物そっくりに作られた偽サイトが表示されます。
偽サイト上で入力したユーザーID/パスワード/クレジットカード番号/口座番号などが盗まれます。

古典的な手口ではありますが、いまなお多くの被害が報告されています。

東京外大生がフィッシングサイト作成、他学生のID盗んで大学システムに不正アクセス 「成績比較したかった」
http://www.itmedia.co.jp/news/articles/1311/07/news076.html

東京三菱銀行:犯罪手口の事例>インターネットバンキングの不正利用
http://www.bk.mufg.jp/info/security/internet/netbank.html#jirei01

フィッシング対策協議会:Club NTT-Westをかたるフィッシング(2014/11/11)
https://www.antiphishing.jp/news/alert/clubnttwest20141111.html

 

 
■フィッシング-SEOポイズニングによる誘導

KIS2015_ブログ記事_2014_11_26_フィッシング詐欺について_007

検索サービスの検索結果の上位にフィッシングサイトやマルウェア(コンピューターウィルス)の埋め込まれた悪質なサイトを掲載し、ユーザーを誘導する手口です。
SEO(Search Engine Optimization)とは、「検索エンジン最適化」とも呼ばれます。
検索サービスで特定の単語を入力した際にサイトが上位に表示されるよう調節する技術で、ユーザーを獲得するために多くのサイト運営者が使用しています。
この技術を悪用することで、フィッシングサイトを検索結果の上位に表示することができます。

検索サービス側もこれを問題視しており、フィッシングサイトをブラックリストに登録し検索結果に表示されないようにする、サイトの掲載内容を自動的に解析するなどの対策を行っています。
しかし、フィッシングサイトも次から次へと新たな手口で対抗しているため対策が追いついていないのが現状です。

 
■フィッシング-SNSや掲示板などからの誘導

KIS2015_ブログ記事_2014_11_26_フィッシング詐欺について_011
これまでフィッシングサイトへの誘導は、主に偽のメールによって行われていました。
最近はFacebookやTwitter、mixiなどSNS(=Sosial Networking Service=ソーシャル・ネットワークサービス)の発展により、これらサービスを利用した手口も確認されています

「DMで偽サイトに誘導」、ツイッター悪用したフィッシングに注意
http://www.nikkei.com/article/DGXNASFK2502K_V21C11A0000000/

 
■ファーミング:接続設定の不正な変更

KIS2015_ブログ記事_2014_11_26_フィッシング詐欺について_012
ファーミングとは、マルウェア(=コンピューターウィルス)などをにより、パソコンやDNSサーバー(ネットワーク機器の一つ)の設定を不正に変更しユーザをフィッシングサイトに誘導する手口です。
ユーザー側では正規のURLへアクセスし操作しているように見えますが、実際は本物そっくりに作られた偽のサイトが表示されます。
偽サイト上で入力したユーザーID/パスワード/クレジットカード番号/口座番号などが盗まれます。

 
■サイト改竄:正規サイトの不正な変更

KIS2015_ブログ記事_2014_11_26_フィッシング詐欺について_013
サイト改竄とは、正規のWebサイトWebサービスを不正に書き換える手口です。
正規のサイトの中に本文のサイトにそっくりな偽のサイトが埋め込まれます。正規のサイト内に埋め込まれているためユーザーが側でアクセスを回避することは困難です。
偽サイト上で入力したユーザーID/パスワード/クレジットカード番号/口座番号などが盗まれます。

「防災コンテスト」Webサイトが改ざん被害、フィッシング詐欺が目的か
http://itpro.nikkeibp.co.jp/atcl/news/14/081200442/

※.フィッシングサイトへの誘導の他、マルウェア(=コンピューターウィルス)へ感染する事例もあります

バッファロー製無線LANルーターのソフトが不正改竄、ユーザーのPCに感染の恐れ
http://it.impressbm.co.jp/articles/-/11431

 

 
【フィッシングサイトを見つけた時は?】
フィッシングメール・フィッシングサイトにアクセスしてしまった時は、
決して個人情報を入力しないよう注意し、慌てずページもしくはメールを閉じて下さい。

また可能であればフィッシングサイトへの対策を行っている下記各機関へご連絡ください。

フィッシング対策協議会:フィッシングの報告
https://www.antiphishing.jp/registration.html

フィッシング110番:各都道府県警サイバー犯罪対策課
http://www.npa.go.jp/cyber/policy/phishing/phishing110.htm

フィッシングメール・サイトからマルウェア(=コンピューターウィルス)がダウンロードされる場合があります。
これらにアクセスしたと疑われる場合は、セキュリティソフトによるフルスキャンをおすすめします。